AveMariaRAT distribuert i phishing-kampanje
Sikkerhetsforskere med FortiGuard Labs sporet en ny phishing-kampanje som distribuerte flere stammer av filløs skadelig programvare, blant annet en kalt AveMariaRAT.
Kampanjen som sprer AveMariaRAT bruker falske dokumenter, vanligvis utgir seg som betalingsrapporter, vedlagt ondsinnet post. Angrepskjeden er ganske kompleks, og involverer makroer, JavaScript i en HTML-fil og PowerShell.
AveMariaRAT, noen ganger også referert til som WARZONE RAT, er en av flere typer filløs skadelig programvare som distribueres i kampanjen. Verktøysettet AveMariaRAT har til disposisjon er formidabelt og inkluderer muligheten til å eskalere privilegier, fjernstyre systemet og eksfiltrere sensitiv informasjon fra målsystemet.
Når den er distribuert på målsystemet, tillater AveMariaRAT ekstern kjøring av skall, tilgang til filutforsker og prosessbehandler, nedlasting og kjøring av filer, tastelogging og fjernkontroll for webkamera.
Sammen med AveMariaRAT distribueres to andre filløse RAT-er i samme phishing-kampanje. En av dem er PandorahVNC RAT, den andre heter BitRAT. BitRAT er den mest allsidige av gjengen, med rapporterte massive 172 kommandoer tilgjengelig for operatørene.